• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

「YouTube」にスクリプトを埋め込める脆弱性、現在では修正済み

アクセスするだけで偽メッセージが表示、悪質サイトへの誘導も

勝村 幸博=日経パソコン 2010/07/07 日経パソコン
スクリプトを埋め込まれた動画ページの例(米SANS Instituteの情報から引用)。アクセスするだけで、偽のニュース記事を記載したダイアログが表示された
スクリプトを埋め込まれた動画ページの例(米SANS Instituteの情報から引用)。アクセスするだけで、偽のニュース記事を記載したダイアログが表示された
[画像のクリックで拡大表示]

 セキュリティ企業や組織は2010年7月5日、動画共有サイト「YouTube」に脆弱(ぜいじゃく)性が見つかったことを明らかにした。コメント欄にスクリプトを埋め込んで、アクセスしたユーザーに実行させることができた。現在では修正済み。

 YouTubeのコメント欄には、入力された<script>タグなどを適切に処理できない脆弱性が見つかった。通常、Webページのコメント欄などでは、<script>タグなどが書かれた場合にはエンコード処理した上で出力し、HTMLタグとしては解釈されないようする。

 YouTubeのコメント欄でも同様の処理をしていたものの不十分だった。<script>タグを続けて記述されると、最初のタグはエンコード処理するものの、2番目以降の<script>タグは処理されず有効になったという。このため、誰でも簡単にスクリプトを埋め込めた。

 実際、2010年7月4日から7月5日にかけて、この手口が公表され、多数の動画ページに悪質なスクリプトが埋め込まれた。スクリプトが埋め込まれたページにアクセスすると、偽のニュース記事やエラーメッセージが表示されたり、悪質なサイトなどにリダイレクトされたりした(図)。

 セキュリティ組織の米SANS Instituteによれば、今回のような脆弱性を悪用すれば、Cookieの情報を盗んだり、偽のログインページを表示したりすることも可能なので、深刻な被害をもたらす危険性があるという。

 SANS Instituteや英ソフォスなどによれば、今回の脆弱性は解消済み。YouTubeを運営する米グーグルでは、同様の問題が発生することを防ぐために、引き続き調査しているとコメントしたという。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る